у нас провайдер догадался с какого-то момента закрывать доступ извне в выдаваемых им модемах (точнее оставлять доступ "только от себя").

У D-link DI-604 дефолтные настройки в этом смысле корректные. Снаружи - нельзя.

Первое, что сделали, это поменяли дефолтный пароль. А вот доступ к веб-интерфейсу извне у нас так просто не прикроешь, надо прошивку менять. А тут уже срабатывает старое правило: работает — не трогай. :)

Вы мудрые :-) А я - понадеялся на мудрость хуявейцев :-)

Но "доступ снаружи" в хуявее как раз оказался легко закрываемым: для каждого вида доступа (telnet, ftp(??), www) - настройки "никак", "только лан", "только ван", "мона всем". По дефолту - можно всем...

Нахуй На хуявейцев надейся, а сам не плошай. :)

А доступ снаружи, по идее, нам как раз не помешал бы, но — на компе, а не на модеме. А в комп-то он как раз и не пускает, не умеет форвардить 80-ый порт со старой прошивкой. А обновлять — см выше. :)

А у вас кто, хуявей или д-линк (или ещё кто-то)? Просто я не проверял, но "port mapping" в моём хуявее есть, и внешний вид этой настройки свидетельствует о том, что это то что нужно. Проверить, что-ли - чисто из любопытства...

У нас д-линк 504. Порт маппинг в нем тоже есть, но со старой прошивкой 80-ый порт никуда в нем не маппится, сколько не прописывай. :) С прочими портами всё в порядке.

У Zyxel P-662HW EE насколько я помню именно так и есть.
Да и у D-Link по умолчанию.
Да, пароль конечно сменен.

Извне это как?
На моем модеме для конфигурирования нужно зайти на IP типа 192.168.0.1, кто же такое извне на него зароутит? Разве что сам провайдер заломать модем захочет.
А потом, я вовсе не уверен, что он позволит себя конфигурировать через "телефонный вход", логично было бы разрешить такую возможность только для "сетевого входа". Хотя от производителей можно всего ожидать.

Это изнутри вашей домашней сетки его адрес выглядит как 192.168.0.1. А извне как раз достаточно набрать в браузере ваш «внешний» айпишник. Вот попробуйте сами откуда-либо с «чужого» интернета, или попросите друзей.

Сейчас уже не могу, так как модем в режиме bridged mode, а переконфигурировать влом.
Но насколько я помню, на внешний IP модем не отзывался, то есть хотел 192.168.0.1 и никак иначе.

В bridged и не должен - у него при этом внешнего айпи нет :-)
В routed - зависит от модема и его настройки. Сейчас проверил...
- с другого провайдера на "внешний ip" соединиться не удалось. Видимо, волгателеком все-таки хоть что-то фильтрует. Хотя, скорее не чтобы клиентов не ломали, а чтобы клиенты веб-сервера дома не ставили :-)
- из локалки :-) на "внешний ip" соединиться _удалось_. Понятно почему - тут фильтровать некому :-)
Поэтому подозреваю, что меня "проломал" кто-то из "соседей" по точке доступа.

Собственно, сейчас _ручками_ (даже не сканером!) пробежался по соседним ip - с двадцатой примерно попытки вошёл админом на чужой модем - D-Link 504T. Вот такая вот секьюрити открытых дверей... :-(

Странно. На мой айпишник (от ВТ) с сендевского интернета спокойно заходится — вот только сегодня проверяла. При этом Д-Линковская веб-морда высвечивается, но и фиг с ней, пароль все равно нестандартный.

Я проверял с нью-телекома (судя по tracert они сидят под kis :-))
С сэндей сейчас проверить не могу - оно не соединяется, но у меня и настроено сейчас чтобы не соединялось, так что вроде как так и должно быть.

А у тебя в настройках d-link'а веб-морда с внешнего интерфейса открыта что-ли? Тогда неудивительно, почему порт-маппинг с 80 адреса не работает ;-)

Мдя. Второй раз за сегодня чувствую себя бляндинкой, и оба раза по одному и тому же поводу. ГДЕ в д-линковских настройках отключается веб-морда для внешних адресов??? В упор не могу найти.

Хм. А не отключается?
Я ж ведь и сам не знаю - у меня-то хуавей, а у хуавея отключается, отдельно для lan, отдельно для wan...

Сдается мне, тут дело как раз в прошивке. Потому что и менюшка у нас совершенно не совпадает с той, что ты привел на скриншоте в другом посте — у нас нигде нет пункта Remote Web Management, а, похоже, именно этот пункт отвечает за доступ к веб-морде извне. Да и вкладочки Admin тоже нету, вместо нее вкладочка User management, и в ней только логин-пароль для доступа к самому модему, а больше ничего.

Ну, Ветка тебе уже ответила... в-общем, если модем включен в режим "routed" (то есть, сам устанавливает соединение и через NAT отдает готовый интернет компьютеру) - то у модема просто обязан быть "внешний" ip-адрес, тот самый, что ему в соединении с провайдером отдается. Ну, и соответственно конфигурационный интерфейс может в принципе работать с любой стороны - хоть с lan, хоть с wan, как настроить.

Вот и оказалось, что у хуявея конфигурирование по умолчанию открыто отовсюду.

Да - при работе в режиме gated (модем устанавливает DSL-линк, а собственно "в интернет" через PPPOE выходит компьютер) у модема вроде как WAN-адреса быть не должно. Но при этом другая проблема - "голой попой в интернет" торчит собственно компьютер. Неприятно - пусть лучше туда специализированная железка с хитрообточенным линухом в пузе торчит, а не мой любимый компьютер с непропатченной виндой и кучей ценных данных ;-)

Если я правильно помню, он на внешний IP никак не реагировал, а хотел именно 192.168.0.1 и никак иначе.

А сейчас у меня как раз gated (bridged) режим, так как "хитрообточенный" линукс стоит на самом компе ;)
Всякие P2P в этом режиме гораздо лучше работают, да и по ssh иной раз извне домой зайти бывает полезно.

См. предыдущий ответ - отвечает по внешнему интерфейсу совершенно на ура :-) А ёще - у меня тут от "соседского" открытого всем хакерам д-линка когнитивный диссонанс образовался... сейчас буду новый пост со скриншотом сочинять...